TwoFace
O TwoFace é uma ameaça de malware que permite que um invasor obtenha acesso a um dispositivo ou rede a partir de um local remoto. Conhecido como shell da Web, o TwoFace e ameaças semelhantes permitem que os criminosos realizem uma variedade de ataques. O TwoFace foi observado em um servidor pertencente a uma corporação localizada no Oriente Médio. Pesquisadores de segurança de PC encontraram o TwoFace durante uma verificação de rotina, percebendo que o servidor e a rede haviam sido comprometidos por criminosos. O que mais preocupava foi que o exame do TwoFace revelou que essa ameaça havia conseguido permanecer no servidor infectado por mais de um ano antes de ser descoberta. Isso representa uma violação de segurança significativa que resultou na perda de informações valiosas com certeza.
Índice
Os Resultados e uma Infecção pelo TwoFace
O objetivo da infecção TwoFace era coletar dados de dispositivos infectados. Usando o TwoFace, os atacantes poderiam ter coletado informações como o nome de usuário e as senhas de diferentes pessoas na rede da empresa. Além disso, o TwoFace também poderia ter sido usado para baixar dados dos servidores infectados. Dados valiosos da empresa poderiam ter sido comprometidos, permitindo que criminosos realizem operações de espionagem e comprometam seus objetivos. O TwoFace também poderia ter sido usado para carregar outros arquivos no destino, o que pode permitir que um invasor carregue outros malwares no destino. Isso pode incluir componentes que permitem que o TwoFace se espalhe para outros destinos em uma rede ou empresa.
Possíveis Alvos dos Ataques do TwoFace
Não era apenas essa empresa do Oriente Médio que era alvo do TwoFace. Várias organizações localizadas em Israel também foram identificadas como alvos do ataque TwoFace. As infecções do TwoFace visavam empresas envolvidas em educação, comunicação e imóveis. É possível que o TwoFace tenha sido implantado pelo OilRig, um grupo de hackers localizado no Irã e que pode ser patrocinado pelo estado iraniano. Os criminosos responsáveis pelos ataques do TwoFace conseguiram permanecer anônimos e não há mais pistas sobre quem pode ter realizado os ataques ou como eles conseguiram se infiltrar nas vítimas atualmente. Os servidores remotos associados ao TwoFace estão localizados na França, nos Estados Unidos e na Alemanha e são quase certamente dispositivos comprometidos que os criminosos usam exclusivamente como parte desses ataques.
Maiores Informações sobre o TwoFace
O TwoFace pode estar operando sem parar desde pelo menos 2016 e possivelmente mais cedo, mas só começou a ser detectado recentemente. O TwoFace foi configurado para operar em servidores Web que usam o Microsoft ASP.NET, uma estrutura de aplicativo Web de código aberto. O TwoFace recebe esse nome por causa de suas 'duas faces', dois componentes de carga útil usados em seu ataque, uma carga primária que realiza o ataque e um carregador que entrega essa ameaça ao servidor da vítima. Após a instalação do TwoFace, essa ameaça é capaz de baixar dados, fazer upload de arquivos, executar comandos, executar aplicativos e permitir que criminosos visualizem e alterem as configurações nos dispositivos de destino.
Protegendo Dispositivos e Redes contra o TwoFace
Existem várias etapas que os administradores de rede podem seguir para garantir que suas redes e servidores estejam protegidos do TwoFace. Os pesquisadores de segurança do PC aconselham vivamente a garantir que todo o software seja atualizado o tempo todo corretamente. Também é importante usar senhas fortes e tomar medidas para garantir que a autenticação seja segura. Qualquer atividade em uma rede ou dispositivo deve ser monitorada em tempo real com o software e um aplicativo de segurança apropriados, o que pode permitir que os administradores de servidores localizem qualquer software não solicitado ou atividade e comunicação suspeita de rede, o que pode resultar de uma infecção do TwoFace.
